Nowe złośliwe oprogramowanie dla systemu Linux wykorzystujące ponad 20 błędów CMS w witrynach WP

Opublikowany: 2023-02-06

Pojawiło się nowe złośliwe oprogramowanie dla systemu Linux, które wykorzystuje luki w zabezpieczeniach motywów WordPress i wtyczek stron internetowych działających na platformie Linux. Wykonując Javascript w celu atakowania kodu źródłowego witryny, złośliwe oprogramowanie może pomóc cyberprzestępcom przeprowadzać ataki DDoS, uzyskiwać dostęp do poufnych danych i przekierowywać użytkowników do złośliwych witryn.

Ten artykuł zawiera obszerny przegląd tego nowego złośliwego oprogramowania dla Linuksa, omawiając jego działanie, luki CMS, które można wykorzystać, i co można zrobić, aby zapobiec takiemu atakowi.

Co to jest atak złośliwego oprogramowania dla systemu Linux?

Wiele współczesnych środowisk chmurowych jest opartych na systemie operacyjnym Linux. Z tego powodu rośnie liczba cyberataków skierowanych bezpośrednio na hosty internetowe korzystające z systemu Linux. Dzięki udanej infiltracji środowiska Linux cyberprzestępcy mogą uzyskać dostęp do szeregu poufnych danych, uruchamiać złośliwe oprogramowanie i potencjalnie powodować długoterminowe szkody w infrastrukturze IT.

Znaleziono nowe złośliwe oprogramowanie dla systemu Linux
Ostrzeżenie o złośliwym oprogramowaniu dla systemu Linux

Od 2020 roku wirusy trojańskie i oprogramowanie ransomware są najpowszechniejszymi formami ataków złośliwego oprogramowania opartych na systemie Linux.

Luki w zabezpieczeniach, takie jak najnowsze wady CMS WordPress, naruszyły sieci. Inne luki obejmują brak uwierzytelnienia w sieci lub błędną konfigurację serwera. Niestety, takie ataki w ostatnich latach były dość skuteczne i stają się coraz bardziej wyrafinowane i różnorodne, przyprawiając zespoły ds. bezpieczeństwa cybernetycznego o ból głowy.

Rodzaje ataków złośliwego oprogramowania dla systemu Linux

Istnieje wiele różnych sposobów, w jakie cyberprzestępca może przeprowadzić atak złośliwego oprogramowania. Poniżej przedstawiono niektóre z najczęstszych typów.

Złośliwe oprogramowanie atakujące obrazy maszyn wirtualnych

Złośliwe oprogramowanie jest stale udoskonalane, znajdując nowe luki, które są celem imponująco przemyślanych ataków przeprowadzanych przez wykwalifikowanych cyberprzestępców. Jeden z takich ataków dotyczy obrazów maszyn wirtualnych (VM), które są używane do obsługi obciążeń.

W ten sposób cyberprzestępcy mogą uzyskać dostęp do cennych zasobów hostowanych w chmurze, co pozwala im siać spustoszenie.

Cryptojacking

Cryptojacking może być bardzo lukratywny dla cyberprzestępców, którzy wykorzystują zasoby informatyczne ofiary do generowania kryptowaluty. Nawet globalne firmy, takie jak Tesla, padły ofiarą takiego ataku.

Złośliwe oprogramowanie typu cryptojacking wykorzystuje systemy pozbawione zaawansowanych zabezpieczeń, umożliwiając hakerom przejmowanie kontroli nad systemami i wydobywanie kryptowalut kosztem ofiary.

Bezplikowe ataki na Linuksa

Korzystając z narzędzia Ezuri napisanego przez firmę Golang, hakerzy mogą szyfrować złośliwe oprogramowanie, odszyfrowywać je w naruszonej sieci i nie pozostawiać żadnych śladów na dysku systemowym. Pozwala to złośliwemu oprogramowaniu ominąć oprogramowanie antywirusowe.

Cyberprzestępcza grupa TeamTNT powszechnie stosuje tę technikę. W przypadku dużych organizacji może to mieć skrajne konsekwencje, naruszając przepisy dotyczące zgodności. Zabezpieczenie przed takimi atakami może znacznie przyczynić się do zapewnienia zgodności ze standardami PCI i innymi wytycznymi regulacyjnymi.

Wyjaśnienie zgodności PCI
Wyjaśnia zgodność z PCI

Złośliwe oprogramowanie sponsorowane przez państwo

Grupy państw narodowych wzmagają ataki na środowiska linuksowe, co jest szczególnie widoczne w wojnie rosyjsko-ukraińskiej. Głównym celem tych ataków złośliwego oprogramowania jest zakłócenie komunikacji i zniszczenie danych.

W jaki sposób strony internetowe WP są atakowane przez nowe złośliwe oprogramowanie dla systemu Linux

Nowy szczep złośliwego oprogramowania dla systemu Linux, który wcześniej nie był znany ekspertom ds. cyberbezpieczeństwa, atakuje witryny WordPress, a dokładniej ponad dwadzieścia wtyczek i motywów.

Rosyjski dostawca zabezpieczeń Doctor Web przeanalizował to nowe zagrożenie, podkreślając potencjalne luki w zabezpieczeniach. Przedstawiciel Doctor Web stwierdził w niedawnym raporcie: „Jeśli strony używają przestarzałych wersji takich dodatków, pozbawionych kluczowych poprawek, docelowe strony internetowe są wstrzykiwane złośliwymi skryptami JavaScript. W rezultacie, gdy użytkownicy klikają dowolny obszar zaatakowanej strony, są przekierowywani na inne strony”.

Celem ataków są określone witryny internetowe z podatnymi na ataki wtyczkami i motywami służącymi do wdrażania złośliwego oprogramowania. Pomaga to stworzyć sieć stron internetowych (botnetów), do których cyberprzestępcy mają zdalny dostęp, umożliwiając im prowadzenie różnych działań. JavaScript można również wstrzyknąć do systemu pobieranego przez zdalny serwer, przekierowując użytkowników uzyskujących dostęp do zaatakowanej witryny i wysyłając ich do złośliwej witryny.

Inna wersja ataku z backdoorem obejmowała nieznaną wcześniej domenę C2, oprócz wycelowania w ponad 20 luk WordPress CMS.

W obu przypadkach atakujący używa metody brutalnej, aby zinfiltrować konta administratorów WordPress. Doctor Web dodał: „Jeśli taka opcja zostanie zaimplementowana w nowszych wersjach backdoora, cyberprzestępcy będą mogli nawet z powodzeniem zaatakować niektóre z tych stron internetowych, które używają aktualnych wersji wtyczek z załatanymi lukami”.

Ponad 20 błędów CMS, które zostały wykorzystane

Lista podatnych motywów i wtyczek wykorzystywanych przez złośliwe oprogramowanie dla systemu Linux obejmuje:

  • Projektant blogów (< 1.8.12)
  • Brizy
  • Wkrótce i tryb konserwacji (<= 5.1.0)
  • Delucks SEO
  • Łatwy WP SMTP (1.3.9)
  • Odtwarzacz wideo FV Flowplayer
  • Hybrydowy
  • Czat na żywo z komunikatorem Czat klienta od Zotabox (< 1.4.9)
  • Skróty ND (<= 5,8)
  • Gazeta (CVE-2016-10972, 6.4 – 6.7.1)
  • jeden ton
  • Narzędzie do tworzenia ankiet, ankiet, formularzy i quizów autorstwa OpinionStage
  • Szablony postów w wersji Lite (< 1.7)
  • Bogate recenzje
  • Proste pola
  • Smart Google Code Inserter (wycofany z dniem 28 stycznia 2022 r., < 3,5)
  • Śledzenie wskaźników społecznościowych
  • Thim Core
  • Suma darowizn (<= 2.0.5)
  • WooCommerce
  • Najczęściej zadawane pytania dotyczące WordPress Ultimate (CVE-2019-17232 i CVE-2019-17233, 1.24.2)
  • Moduł pobierania kanałów RSS WPeMatico i
  • Zgodność z RODO WP (1.4.2)
  • Czat na żywo WP (8.0.27)
  • Obsługa czatu na żywo WP
  • Integracja WP-Matomo (WP-Piwik)
  • Menedżer szybkiej rezerwacji WP
  • Żółty ołówek Visual CSS Style Editor (< 7.2.0)
  • Powiązane posty Yuzo (5.12.89)

Poprzednie ataki złośliwego oprogramowania WordPress

Organizacja wywiadowcza i badawcza Fortinet FortiGuard Labs ujawniła inny botnet (grupę naruszonych urządzeń podłączonych do Internetu) znany jako GoTrim. Ta sieć została utworzona przy użyciu technik brutalnej siły na samoobsługowych stronach internetowych, które korzystają z CMS WordPress, dając im pełną kontrolę nad systemem.

Sucuri, platforma bezpieczeństwa i ochrony witryn należąca do GoDaddy, zidentyfikowała pod koniec 2022 r. ponad 15 000 naruszonych witryn WordPress. Było to częścią ogólnej kampanii złośliwego oprogramowania mającej na celu przekierowanie odwiedzających witrynę do portali pytań i odpowiedzi kontrolowanych przez cyberprzestępców. Według stanu na styczeń 2023 r. ponad 9 000 z tych witryn nadal było zainfekowanych.

Latem 2022 roku Sucuri opublikował również raport opisujący system kierowania ruchem (TDS) nazwany „Parrot”, który atakował witryny WordPress za pomocą złośliwego oprogramowania opartego na JavaScript.

Jak zapobiegać atakom złośliwego oprogramowania dla systemu Linux

Aby zapobiec takiemu atakowi, wszystkim użytkownikom WordPress zaleca się aktualizację wszystkich komponentów swoich stron internetowych, w tym wszelkich wtyczek i motywów stron trzecich. Zgodnie z najlepszą praktyką użytkownicy powinni również używać silnych haseł i unikalnych danych logowania dla każdego użytkownika, aby zwiększyć bezpieczeństwo.

Właściciele witryn powinni również regularnie tworzyć kopie zapasowe swoich danych, zmniejszając ryzyko bycia ofiarą ataku ransomware, a także zaleca się instalowanie regularnie aktualizowanych wtyczek bezpieczeństwa premium.

Podsumowanie

Ten nowo zidentyfikowany atak jest skierowany na ponad 20 wtyczek i motywów WordPress hostowanych w środowisku Linux, umożliwiając cyberprzestępcom uruchamianie złośliwego oprogramowania. Wiele z tych ataków polega na przekierowywaniu odwiedzających witrynę internetową na fałszywe strony internetowe, podczas gdy inne pomagają hakerom w tworzeniu botnetów, które można wykorzystać do szeregu przestępstw.

Użytkownicy WordPressa mogą zapobiec takiemu atakowi, aktualizując wszystkie wtyczki i motywy oraz używając silnych danych logowania. Większość witryn, które padły ofiarą ataków złośliwego oprogramowania, jest słabo utrzymywana, ma zainstalowane minimalne zabezpieczenia i używa słabych haseł.